1

Análisis Forense

Técnicas de Seguridad en Sistemas de Información Master TIC – Noviembre 2011

Iván Marsá Maestre

¿Análisis Forense?

  El título no está muy bien puesto   ¿Informática forense?

  Veremos tres temas relacionados   Forensic Informatics   Information Forensics   Security Audit and Risk Analysis

  Cada uno con sus técnicas y desafíos

Introducción

2

Forensic Informatics

  Informática aplicada a la investigación forense   El dispositivo informático es una “evidencia” de un

delito   No necesariamente electrónico

  Empleo de técnicas informáticas para extraer y recopilar evidencias “lógicas” de la evidencia “física”

  Desafíos   Validez jurídica

Introducción

Information Forensics

  Investigación forense aplicada a sistemas de información   El dispositivo informático es el “objeto” de una

intrusión   No necesariamente un delito

  Empleo de técnicas informáticas para recopilar evidencias acerca de la intrusión

  Desafíos   La fuente de información es el objeto atacado

Introducción

3

Security Audit and Risk Analysis

  Análisis de Riesgos asociados a Sistemas de Información   El sistema no ha sido atacado, pero comporta

riesgos   No necesariamente frente a ataques

  Recopilación de evidencias que permitan valorar los riesgos del sistema

  Desafíos   No es “¿qué ha pasado?”, sino “¿qué puede pasar”

Introducción

¿Qué tienen en común?

  El procedimiento  Recuperación de información  Análisis de evidencias  Elaboración de un informe

  Las habilidades que se requieren  Análisis crítico y objetivo  Valoración fundada  Rigor  …

Fuentes de Información

4

Forensic Informatics (Informática Forense)

Técnicas de Seguridad en Sistemas de Información Master TIC – Noviembre 2011

Informática Forense

  Recopilar evidencia de equipos informáticos y dispositivos de almacenamiento digitales que pueda ser presentada ante un tribunal

  Requisitos específicos  Preservación de la evidencia  Cadena de custodia  Reproducibilidad

Introducción

5

Metodología Forense

 Recolección de evidencia  ¡Manteniendo la integridad y la cadena de custodia!

 Análisis de la evidencia  Metódico y reproducible

  Informe pericial  Riguroso, claro y preciso

Introducción

Recogida de Evidencias

 Evidencia: elemento físico o lógico que permite confirmar o refutar una hipótesis  En este caso, la hipótesis del hecho delictivo o de su

autoría  Evidencia electrónica o informática: alude al

soporte específico  ¿Qué puede ser una evidencia?

Recogida de Evidencias

6

Volatilidad de la evidencia

 Alude a la facilidad de alteración de la evidencia  Evidencias volátiles

 Memoria RAM  Procesos activos  Conexiones de red  …

 Debe ser recolectada en primer lugar

Recogida de Evidencias

Volatilidad de la evidencia

 ¿Apagar o no apagar la máquina?  Si se apaga, se pierde la evidencia volátil  Si no se apaga, se puede alterar toda la evidencia

  Ataque en curso  Mecanismos de protección  …

  En general, hay que llegar a una solución de compromiso

Recogida de Evidencias

7

Integridad de la evidencia

 Asegurar que la evidencia no ha sido alterada  Minimizar pérdida de datos  Evitar agregar datos

  Garantizar que la evidencia no ha sido alterada   Imprescindible en todo proceso judicial

Recogida de Evidencias

Integridad de la evidencia

 ¿Cómo asegurar la no alteración de la evidencia?  Copiados bit a bit  Bloqueadores de escritura  Hashes criptográficos  Jaulas de faraday

  Garantizar que la evidencia no ha sido alterada  Protocolos de cadena de custodia  Protección física de la evidencia

Recogida de Evidencias

8

Proceso de Análisis Forense

Recogida de Evidencias

Asegurar la escena

Identificar evidencias

E S C E N A Capturar

evidencias

Analizar evidencias

Presentar resultados

Preservar evidencias

L A B O R A T O R I O F O R E N S E

Adecuado tratamiento y documentación de las

evidencias garantizando la «cadena de custodia»

Equipo formado por personal capacitado con experiencia en el uso de herramientas de análisis

forense

Redacción de informes claros, concretos y

concisos ilustrativos de los hechos.

Documentar detalladamente todos los procedimientos realizados

sobre las evidencias

Analizar las evidencias siguiendo métodos forenses especializados y empleando las herramientas forenses

adecuadas al caso

Presentación de los resultados de forma

clara y en un formato adecuado al tipo de informe requerido

Definición de los protocolos de actuación a seguir ante un

determinado tipo investigación digital

Experiencia en investigación y conocimiento de sistemas informáticos para identificar las fuentes de información

Empleo de herramientas fiables, contrastadas y

eficientes que garanticen que NO se altera la evidencia original

Proteger la escena para evitar la modificación o

destrucción de las evidencias digitales

existentes

Identificar de entre los equipos y dispositivos

existentes, los que puedan contener una información relevante

Realizar copia exacta de las evidencias identificadas sin alterar el original, o con el mínimo impacto sobre

ésta

La imagen forense

 Copia “bit a bit” de la evidencia contenida en un sitema  Discos duros, unidades extraíbles, memoria

  ¿Cómo se obtiene?  Duplicadoras hardware  Software específico

  Propietario: Encase  De libre distribución: dd

Recogida de Evidencias

9

Análisis de la información

 Localizar información relevante para el caso  ¿Qué es relevante?  ¿Cómo localizo esa información en un tiempo razonable?

  Métodos de análisis  Establecimiento de la línea temporal  Análisis de palabras clave  Técnicas de inteligencia artificial  …

Análisis de la Información

Análisis de la información

 Desafíos  Dispositivos cada vez más heterogéneos  Cifrado de datos  Almacenamiento en la nube  Revisión no supervisada de contenidos  …

Análisis de la Información